Windows Vista 系統安全建置指南

1. Windows Vista系統安全建置指南 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT BS7799/ISO27001 Lead Auditor

2. 預備知識 • 熟悉Windows作業系統的使用與管理 • 網路資訊安全管理 Level 200

3. 講題大綱 • 安全指南的背景 • Vista的安全指南 • 網域架構的用戶端安全 • 加強的Vista安全

4. 安全指南的用途 • 提供負責與可靠的安全指導方案 • 根基在客戶所提供的使用情境之上 • 有強烈的支持作用 • 專注在安全與效能、可用性的平衡 • 提供工具來導入安全建置指南

5. What Are MSSC?(Microsoft Solutions for Security and Compliance) • 負責Microsoft產品的安全指南 • 提出Microsoft個產品之間的安全協力機制 • 整合所有的產品與技術 • Microsoft • Partners • Non-products

6. 安全指南的歷史 • Windows 98 and NT 4.0 Threat Mitigation Guide • Windows 2000 Security Guide • Windows XP Security Guide • Windows Server 2003 Security Guide • Windows Server 2003 Threats & Countermeasures Guide • Windows Vista Security Guide • Windows Vista Threats & Countermeasures Guide • Note: Vista安全指南目前正積極建立中

7. TechNet Security Guidancehttp://www.microsoft.com/technet/security/http://www.microsoft.com/taiwan/technet/security

8. 安全指南的建立過程 • 客戶導向來建立回饋方式 • 與多個政府單位共同努力(美國) • 嚴謹的發展過程 • 檢查每一個設定 • 根據安全性來決定所需的設定值 • 在多個實際環境來測試設定值的使用情形 • 與客戶來進行檢驗 • 反覆檢驗確認直到真正完成為止

9. 講題大綱 • 安全指南的背景 • Vista的安全指南 • 網域架構的用戶端安全 • 加強的Vista安全

10. Windows Vista的安全指南 • 從之前的作業系統版本擴展而來 • 不同環境各別給予建議 • 提供給不同的安全等級 • 內容反映企業環境的需求 • 包含情境式的安全指南 • 善用Windows Vista的新安全技術 • BitLocker, User Account Control等等 • 擴展的GPMC設定控制

11. Vista安全指南的建立

12. 預設的網路環境 • Windows Server 2003 網域環境 • 未受管理的電腦與使用者排除在外 • 利用Group Policy Management Console • 以邏輯的企業需求來建立OU結構

13. 使用情境 • 環境 • 企業網路環境 • 特定功能電腦的特殊安全功能 • 特別加強 • 惡意軟體的防護 • 保護敏感資料 • 整合特定的安全設定 • 整合與支援現存、舊的應用程式

14. 全面性的防護架構 • 使用階層架構分析： • 增加攻擊者被偵測的風險 • 降低攻擊者意外成功的攻擊 政策，程序與體認 實體安全 資料 ACLs、加密、EFS 應用程式 Application hardening、防毒 OS hardening、驗證、 安全性更新管理 主機 內部網路 網段隔離、IPSec、NIDS 網路周邊 防火牆、網路存取隔離控制 守衛、上鎖與追蹤裝置 安全文件與使用者教育

15. 安全指南的大致內容 • 安全指南介紹 • 設定AD網域基礎架構 • 用戶端的安全性設定 • 系統管理範本 • 獨立的用戶端安全 • 惡意軟體防制 • 測試建議

16. 用戶端電腦安全元件 軟體更新 防毒 安全性密碼 防火牆 用戶端管理工具 行動電腦安全 應用程式安全 資料防護

17. 企業網路環境威脅 • 一般的安全威脅 • 密碼猜測 • Man-in-the-middle網路攻擊 • 伺服器偽冒 • 使用者洩漏、遺失資料或電腦 • 惡意程式 • 基本的保護就能提供高可使用性

18. 企業網路環境解決對策 • 密碼原則 • 帳號鎖定 • SMB簽署(SMB signing) • 權限使用 • 使用者權限 • Internet Explorer的加強

19. 特定安全限制功能Specialized Security Limited Functionality (SSLF) • 企業網路環境的特例情形 • 特別而更強固的設定 • 大致都一樣的設定，而給特別參數 • 增加安全性 • 可能減低可使用度 • Cost? • 針對特殊的客戶需求

20. 特定安全限制功能解決對策 • 基本跟企業環境一樣 • 設定是為了更緊密的安全 • 例如：稽核物件存取 • 一般環境: Disable • SSLF: 稽核失敗 • 結果 • 更多的稽核事件 • 更可能偵測到特定的攻擊行為 • 更困難與麻煩地去分析事件紀錄資料

21. 行動電腦安全 • 當行動電腦連線至企業網路時將會延伸網路周邊裝置 • 對這些裝置延伸安全性： • BIOS 密碼保護 • 網路存取隔離控制 • 更安全的無線存取驗證機制 • CompletePC備份工具 • BitLocker • USB裝置的安全控管

22. 原則定義與確保 Rights Management Services (RMS) 以使用者為基礎的檔案加密 Encrypted File System(EFS) 以硬體為基礎的磁碟加密 Full Volume Encryption(BitLocker) Windows Vista的資料保護

23. 實行安全性密碼 教育使用者關於安全性密碼的原則 使用包含空白、數字與特殊符號作為密碼的一部份 針對不同的資源使用不同的密碼 當離開電腦時使用鎖定電腦或者 使用密碼保護的螢幕保護程式 使用多方驗證的機制加強安全

24. 對抗惡意程式 • 使用者帳戶控制(UAC) • Internet Explorer保護模式 • IE Phishing Filter • 64-bit驅動程式簽署 • IPSec隔離 • Driver Resource Protection • Windows Defender

25. 惡性程式防護技巧 實施深度防禦機制 降低攻擊層面 提供安全性更新 啟用主機端防火牆 安裝防毒軟體 利用設定掃描器測試 給予最少的特權原則 限制未授權的應用程式

26. Windows Update的使用

27. 講題大綱 • 安全指南的背景 • Vista的安全指南 • 網域架構的用戶端安全 • 加強的Vista安全

28. 網域用戶端安全 • Active Directory 元件 • 建立 OU 的階層式架構 • 如何新增 OU 的階層式結構 • 使用 AD 建置用戶端安全

29. Active Directory元件 • 群組原則 • 建置與管理網路安全的基礎架構 • 樹系（Forest） • Active Directory中的安全性邊界 • 網域（Domain） • 蒐集與管理電腦、使用者與群組物件的管理範圍 • 組織單位（OU） • AD 中的容器物件，以組織其他物件

30. Domain Policy Root Domain Department OU Domain Controller OU Secured Windows Vista Users OU Windows VistaOU Desktop Policy Desktop OU Laptop Policy Laptop OU 建立OU的階層式架構 • Group Policy 可以簡化用戶端安全的設定 • 分隔階層模組 • 獨立出使用者 OU與電腦 OU • 針對每一個 OU 給予適當的原則設定

31. 如何新增OU的階層式結構 針對每一個部門新增 OU 1 針對每一種作業系統版本的用戶端依部門設定 OU 2 針對每一種用戶型態的電腦依部門設定 OU 3 將所有用戶端的電腦帳號搬移至適當的 OU 中 4 新增並設定 GPO 指派給適當的 OU 5

32. 設計 OU 結構適當管理用戶端安全 設計 OU 結構獨立出使用者與電腦的安全帳號 新增 GPO 給每個 OU 以指派適當的安全性原則給用戶端 使用AD建置用戶端安全

33. 利用Group Policy加強用戶端安全 • 使用安全性範本 • 使用系統管理範本 • 什麼是安全性設定

34. 使用安全性範本 安全性範本提供預設的安全性設定 • 依用戶所包含的所有範本： • 所有網域中的使用者與電腦 • 桌上型電腦 • 膝上型電腦 • 每一個範本包含企業的用戶端與高安全的環境 • 可以編輯安全性範本的設定並且匯入至 GPO 中

35. 使用系統管理範本 系統管理範本可以包含： • 電腦設定 • 使用者設定 你可以使用系統管理範本來設定： • 使用者操作環境 • 應用程式安全性設定

36. 什麼是安全性設定

37. Windows Vista的安全性設定

38. 講題大綱 • 安全指南的背景 • Vista的安全指南 • 網域架構的用戶端安全 • 加強的Vista安全

39. Windows Vista群組原則新功能 • 多重本機群組原則 • ADMX的使用 • 裝置設備的管理 • UAC的控管 • 更多的安全控管

40. 多重本機群組原則 • LGPO 與 AD GPO 套用順序與優先權沒有變動 (AD GPOs 依然有較高套用權) • LGPOs 可以建立在： • The machine • NEW: Admin or non-Admin local groups • NEW: Individual local users • 套用順序依舊！(machine LGPO 先處理……) • 個別使用者的 GPO “wins” • 單一使用者依然會套用相關群組的LGPO (Admins or the Non-Admins,not both)

41. ADMX的使用 • ADM檔案的挑戰： • 不支援多國語系環境 • Sysvol 體積膨脹 (4Mb+ per GPO) • 有些不清楚且有限制的語法 • ADMX 的好處 • 內建多國語系支援 (與 ADML 檔案關聯) • 改善的檔案儲存方式 (可擺放本機或集中位置) • 更彈性的語法方式 (XML-based)

42. ADMX 的集中存放 • 預設為非集中存放 • ADMX 擺放本機(位於GPMC或GPEdit管理時的電腦) • 建立與使用集中存放 • 全網域的存放位置– [sysvol]\policies\policydefinitions • 一個簡單步驟即可完成 • 啟用後, Windows Vista GPMC/GPEdit 開始使用集中存放的 ADMX 檔案 (並且忽略本機位置)

43. Windows Vista共存使用情形(ADMX/ADM 並存) • Windows Vista 未包含任何的 ADM 檔 (ADMX 檔已涵蓋原來的 ADM 檔) • ADMX and ADM files 可以同時共存使用 • 用“新增/移除範本”來新增 ADM 檔(非 ADMX 檔).

44. 透過系統管理範本來管理Office

45. 卸除式存放裝置原則設定Removable storage device Policy Settings • 可依“電腦”或“使用者”來分別設定原則控管，管理可依“read”或“write”來處理 • 卸除式存放裝置分類 • CD/DVD • Tapes • USB plug-in devices • Windows Portable Devices (WPD) • All other external removable storage devices

46. 使用者帳戶控制原則設定User Account Control Policy setting • 以電腦來設定：Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options • 使用者帳戶控制原則設定式控制“UAC”的使用行為

47. Windows Firewall與IPSec 整合Windows Firewall與IPSec 管理工作為單一操作介面 指定允許的應用程式與連接埠 只有具安全連結時才允許連線 只有特定的AD群組才允許連線 更智慧的功能 強迫隔離的設定 限制只允許加入網域的電腦進行網路資源存取 簡化的管理 在單一主控台來一致性的管理設定 常用連線情境的順暢設定

48. Windows Defender Wireless and Wired Configuration Version 7.0 Network Access Protection Public Key Policy Configuration Integrated IE 7.0 Policy Settings Device Installation control 更多安全相關原則設定

49. 加強的稽核功能 • 更詳細的稽核 • 例如登入、登出、檔案系統存取、機碼存取、管理權限使用 • 新的記錄架構 • 更方便過濾掉沒有用的事件記錄 • 當事件發生時，可以 • 傳送通知給管理者 • 執行特定的程式

50. 整合、支援舊有的應用程式 • 相容性基礎的情境使用 • 讓舊的或不太適當撰寫的程式亦能運作 • 減損系統安全來成全可使用性